Το FBI καταλαμβάνει το BreachForums μετά τη σύλληψη του ιδιοκτήτη του Pompompurin τον Μάρτιο
Related Posts
Οι αμερικανικές αρχές επιβολής του νόμου κατέλαβαν σήμερα τον καθαρό διαδικτυακό τομέα του διαβόητου φόρουμ πειρατείας BreachForums (γνωστός και ως Breached) τρεις μήνες μετά τη σύλληψη του ιδιοκτήτη του Conor Fitzpatrick (γνωστός και ως Pompompurin), με κατηγορίες για έγκλημα στον κυβερνοχώρο.
Φιλοξενείται στο Breached[.]vc, ο τομέας εμφανίζει τώρα ένα banner κατάσχεσης που λέει ότι ο ιστότοπος καταργήθηκε από το FBI, το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών, το Γραφείο Γενικού Επιθεωρητή και το Υπουργείο Δικαιοσύνης βάσει εντάλματος που εκδόθηκε από το Περιφερειακό Δικαστήριο των Η.Π.Α. Ανατολική Περιφέρεια της Βιρτζίνια.
Άλλες αρχές επιβολής του νόμου σε όλο τον κόσμο συμμετείχαν επίσης σε αυτήν τη δράση, όπως η Μυστική Υπηρεσία των ΗΠΑ, οι Έρευνες Εσωτερικής Ασφάλειας, το Αστυνομικό Τμήμα της Νέας Υόρκης, η Υπηρεσία Ταχυδρομικής Επιθεώρησης των ΗΠΑ, η Ολλανδική Εθνική Αστυνομία, η Ομοσπονδιακή Αστυνομία της Αυστραλίας, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου και Αστυνομία της Σκωτίας.
Όπως συμβαίνει συνήθως με τα μηνύματα κατάσχεσης τομέα, οι αρχές επιβολής του νόμου εμφάνισαν το λογότυπο για τον ιστότοπο. Ωστόσο, σε μια μοναδική εμφάνιση, οι αρχές επιβολής του νόμου ακολούθησαν μια αντισυμβατική προσέγγιση, προσθέτοντας χειροπέδες στο
avatar
του Pompompurin στο πανό κατάσχεσης.
Η BleepingComputer έμαθε ότι οι αρχές επιβολής του νόμου κατέλαβαν επίσης το πομπούρ[.]στο domain, που ήταν ο προσωπικός ιστότοπος του Pompompurin, ως μέρος αυτής της επιχείρησης.
Ενώ ο καθαρός καθαρός τομέας του BreachForums έχει κατασχεθεί, ο αντίστοιχος σκοτεινός ιστός του δεν εμφανίζει ακόμη το banner κατάσχεσης, αλλά αντίθετα εμφανίζει ένα σφάλμα Nginx “404 Not Found”.
Οι εκπρόσωποι του FBI και του Υπουργείου Δικαιοσύνης δεν ήταν άμεσα διαθέσιμοι για σχόλια όταν επικοινώνησε η BleepingComputer νωρίτερα σήμερα.
Όπως αναφέρθηκε αρχικά από
DataBreaches.net
αυτές οι κατασχέσεις τομέα οδήγησαν επίσης στην κατάσχεση ενός από τους δικούς τους ιστότοπους που χρησιμοποιούνταν για την αναφορά παραβιάσεων δεδομένων.
Breached εναντίον του νέου Breached
Μετά τη σύλληψη του Fitzpatrick, ο Baphomet, ο εναπομείνασας διαχειριστής, προσπάθησε να διατηρήσει τη λειτουργία των αρχικών τομέων. Ωστόσο, ο Baphomet πίστευε ότι οι ομοσπονδιακοί πράκτορες απέκτησαν πρόσβαση στους διακομιστές, με αποτέλεσμα ο διαχειριστής να κλείσει τον ιστότοπο στις 20 Μαρτίου.
Αμέσως μετά, επίσκεψη στον τομέα που εμφανίζεται
Μηνύματα σφάλματος “502 – Bad Gateway”.
υποδεικνύοντας ότι ο ιστότοπος είχε πλέον κλείσει.
Τον Ιούνιο, μετά τις φήμες ότι η Baphomet συνεργάζεται με τη Shiny Hunters, έναν παράγοντα απειλών που είναι διαβόητος για πολλές παραβιάσεις δεδομένων, για την επανεκκίνηση του BreachForums σε έναν νέο τομέα, ο παλιός τομέας που έχει παραβιαστεί άρχισε να εμφανίζει ένα προεπιλεγμένο “Καλώς ήρθατε στο nginx!” σελίδα.
Αυτό έδειξε ότι κάποιος άλλος είχε αποκτήσει τον έλεγχο των τομέων και άλλαζε το περιεχόμενο και τη διαμόρφωσή τους. Η Baphomet αρνήθηκε την ευθύνη για αυτές τις αλλαγές.
Ακόμη πιο περίεργο, εμφανίστηκαν μηνύματα στους παλιούς τομείς που προειδοποιούσαν τους χρήστες ότι το BreachedForums δεν θα επέστρεφε ποτέ και τονίζοντας ότι τυχόν φόρουμ που ισχυρίζονται ότι είναι μια νέα έκδοση του BreachedForum θα πρέπει να προσεγγίζονται με προσοχή.
“Οποιοδήποτε φόρουμ ισχυρίζεται ότι είναι “Παράβαση” ή “Παράβαση” θα πρέπει να χρησιμοποιείται με προσοχή.[.]τομέας vc.
Αυτή η ειδοποίηση ενημερώθηκε αργότερα με υποτιθέμενα μηνύματα από την Baphomet που προειδοποιεί ότι τυχόν φόρουμ που ισχυρίζονται ότι είναι τα νέα BreachForums θα πρέπει να θεωρούνται μη ασφαλή. Η Baphomet αρνήθηκε ότι έκαναν αυτές τις ενημερώσεις στους παλιούς τομείς.
Σε μια κλιμακούμενη σύγκρουση μεταξύ διαφόρων φόρουμ χάκερ, το νέο BreachForums των Baphomet’s και Shiny Hunter επλήγη από τη δική του παραβίαση δεδομένων, με τους παράγοντες απειλών να απελευθερώνουν την κλεμμένη βάση δεδομένων του ιστότοπου.
Στη συνέχεια, εμφανίστηκε μια ενημέρωση για το παλιό Breached[.]τομέα vc, συμβουλεύοντας να μην εμπιστεύεστε τον κλώνο του BreachForums καθώς είχε ήδη παραβιαστεί. Αυτό το μήνυμα περιείχε επίσης έναν σύνδεσμο προς ένα αρχείο SQL για την κλεμμένη βάση δεδομένων που διέρρευσε από τα νέα BreachedForums.
Προειδοποίηση παραβίασης (BleepingComputer)
Όλες αυτές οι νέες ενημερώσεις στον ιστότοπο περιλάμβαναν ένα κρυφό σχόλιο HTML που έλεγε “Meow”, ακολουθούμενο από ένα χαμογελαστό πρόσωπο που κλαίει:
Ενώ ορισμένοι στην κοινότητα της κυβερνοασφάλειας θεώρησαν ότι αυτή ήταν μια προσπάθεια των αρχών επιβολής του νόμου να αποθαρρύνουν την επιστροφή περαιτέρω παραβιάσεων δεδομένων και φόρουμ πειρατείας, αυτό το μήνυμα διέρρευσε επίσης τη νέα βάση δεδομένων BreachForums, κάτι που δεν είναι κάτι που συνήθως βλέπατε από τις αρχές επιβολής του νόμου.
Είναι πιο πιθανό ότι άλλοι παράγοντες απειλής είχαν πρόσβαση στους διακομιστές και δημοσίευαν αυτά τα μηνύματα.
Ο τομέας του παλιού φόρουμ άρχισε να εμφανίζει το banner κατάσχεσης του FBI τρεις ημέρες αργότερα.
Η σύλληψη του Πομπουρίν
Κατά τη σύλληψή του στις 15 Μαρτίου, ο ιδιοκτήτης του BreachForums παραδέχτηκε ανοιχτά χωρίς την παρουσία δικηγόρου και αφού παραιτήθηκε από τα συνταγματικά του δικαιώματα ότι το πραγματικό του όνομα ήταν Connor Brian Fitzpatrick και ότι ήταν πράγματι Pompourin, σύμφωνα με δήλωση του ειδικού πράκτορα του FBI John Longmire που περιλαμβάνεται στο
δικαστικά έγγραφα
.
Αυτός
χρεώθηκε
με συμμετοχή σε κλοπή και πώληση ευαίσθητων προσωπικών πληροφοριών που ανήκουν σε «εκατομμύρια πολίτες των ΗΠΑ και εκατοντάδες αμερικανικές και ξένες εταιρείες, οργανισμούς και κυβερνητικές υπηρεσίες».
Ο Φιτζπάτρικ αφέθηκε ελεύθερος μια μέρα αργότερα με εγγύηση 300.000 δολαρίων και ήταν προγραμματισμένο να εμφανιστεί στο Περιφερειακό Δικαστήριο της Ανατολικής Περιφέρειας της Βιρτζίνια στις 24 Μαρτίου.
Την ημέρα της κατάθεσής του, το FBI επιβεβαίωσε
νέα δικαστικά έγγραφα
ότι είχαν πρόσβαση στη βάση δεδομένων του BreachForums.
Μετά τη σύλληψη του ιδιοκτήτη, ο Baphomet έκλεισε το Breached αφού είπε ότι πίστευαν ότι οι αρχές επιβολής του νόμου είχαν πρόσβαση στους διακομιστές του φόρουμ.
Ποιος είναι η Πομπομπουρίνη;
Ο Pompompurin υπήρξε μέλος υψηλού προφίλ του RaidForums και μέρος ενός υπόγειου εγκληματία στον κυβερνοχώρο που επικεντρώθηκε στην παραβίαση δικτύων εταιρειών και την πώληση ή τη διαρροή κλεμμένων δεδομένων στο διαδίκτυο.
Μετά την κατάσχεση του RaidForums το 2022, η Pompompurin δημιούργησε το φόρουμ BreachForums (ή Breached), το οποίο γρήγορα έγινε η μεγαλύτερη πλατφόρμα για διαρροές δεδομένων, που χρησιμοποιείται συχνά από ομάδες
ransomware
και άλλους παράγοντες απειλών για τη διαρροή κλεμμένων πληροφοριών.
Συγκεκριμένα, πριν από τη σύλληψη του Φιτζπάτρικ, ένα άγνωστο άτομο επιχείρησε να πουλήσει προσωπικά δεδομένα που ανήκουν σε πολιτικούς των ΗΠΑ. Αυτά τα δεδομένα ελήφθησαν κατά την παραβίαση του DC Health
Link
, του παρόχου υγειονομικής περίθαλψης για τα μέλη του Σώματος των ΗΠΑ, τις οικογένειές τους και το προσωπικό.
Η Pompompurin ενεπλάκη επίσης στην παραβίαση άλλων οργανισμών και εταιρειών υψηλού προφίλ. Για παράδειγμα, εκμεταλλεύτηκε μια ευπάθεια στην πύλη Επιχειρήσεων Επιβολής του Νόμου (LEEP) του FBI για να στείλει ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου για ειδοποιήσεις για κυβερνοεπίθεση.
Έκλεψε επίσης δεδομένα πελατών από το Robinhood και φέρεται να εκμεταλλεύτηκε ένα σφάλμα
Twitter
για να βρει τις διευθύνσεις email περίπου 5,4 εκατομμυρίων χρηστών.
Θα πρέπει επίσης να σημειωθεί ότι τα δικαστικά έγγραφα που κυκλοφόρησαν μετά τη σύλληψη του Fitzpatrick δεν έχουν ακόμη αποκαλύψει κατηγορίες εναντίον του Pompompurin που σχετίζονται με παραβιάσεις και κακόβουλη δραστηριότητα πέρα από το BreachForums.
